“关保”始于“等保”却高于等保-关保解析
公安部于2020年7月研究制定了公网安〔2020〕1960号《贯彻落实网络安全等保制度和关保制度的指导意见》(下称“指导意见”),明确网络安全工作目标:网络安全等级保护制度深入贯彻实施;关键信息基础设施安全保护制度建立并实施;网络安全监测预警和应急处置能力显著提升;网络安全综合防控体系基本建成。
深入贯彻落实网络安全等级保护(简称“等保”)工作、积极推进关键信息基础设施保护(简称“关保”)工作开展将是网络运营者2021年网络安全工作的重点。在落实等保和关保两个制度时,网络运营者明确网络安全等级保护和关键信息基础设施安全保护间的关系是开展网络安全工作的前提和基础。行业内讲“关保基于等保护高于等保”,究竟该如何理解这一口号呢?本文通过分析下列几个关系对“等保和关保”的关系进行分析、说明:
关键信息基础设施与等级保护对象的关系?
关键信息基础设施认定与等级保护定级的关系?
关键信息基础设施检测评估与等级测评的关系?
关键信息基础设施保护制度和网络安全等级保护制度的关系?
基本概念
若要了解“等保”与“关保”两者关系,首先需明白二者的基本概念以及主要的工作内容,具体情况如下表:
关系分析
关键信息基础设施与等级保护对象的关系
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施、信息系统。
等级保护对象是指网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源。
关系分析:等级保护对象是针对边界明确、可独立定级和明确保护措施的信息系统、通信网络设施和数据资源,而关键信息基础设施是由支撑关键业务及其关联业务稳定运行、相互关联、相互影响的网络设施和信息系统构成。在《网络安全法》中要求将关键信息基础设施纳入等级保护中,因此关键信息基础设施是等级保护对象的一部分,是等级保护的重点保护对象。
关键信息基础设施认定与等级保护对象定级的关系
识别认定流程:
关键信息基础设施识别认定流程大致可概括为:
定级流程:
网络安全等级保护定级流程大致可概括为:
关系分析:关键信息基础设施认定与等级保护对象定级分别作为开展等级保护和关键信息基础设施保护确定保护对象的重要手段,是开展等保、关保工作的前提。二者在资产识别、梳理层面存在一定的相似性,但却是两项不同的工作内容,而等级保护对象的识别梳理、定级边界确定、定级对象关联资产分析为关键信息基础设施识别认定提供了坚实的基础。
关键信息基础设施检测评估与等级测评的关系
关键信息基础设施检测评估通过合规检查、技术检测和分析评估完成,具体评估流程为:评估工作准备(调研、方案制定)、工作实施、工作总结(风险研判、报告编制、结果反馈);
等级保护测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。
关系分析:
第三级以上的等级保护定级对象每年至少一次等级测评,对于关键信息基础设施,运营者可自行或委托网络安全服务机构对CII地风险隐患每年至少一次检测评估。关键信息基础设施检测评估与等级测评的目标对象和检测力度存在着一定差异,因此检测评估与等级测评不能混为一谈,但关键信息基础设施开展等级测评的情况是关键信息基础设施检测评估工作的一部分内容。
关键信息基础设施保护制度和网络安全等级保护制度的关系
落实关键信息基础设施保护制度的目标是保障业务整体安全,即业务连续性与安全可控性;落实网络安全等级保护制度的目标是有效发现、解决网络和信息系统安全面临的威胁和存在的主要问题。
网络安全等级保护制度是关键信息基础设施保护的基础,关键信息基础设施是等级保护的重点,两者相辅相成、不可分割。对于重点行业、重点领域的运营者而言,应当对网络和信息系统进行合理的边界划分,确定定级对象,开展等级保护(定级、备案、建设整改、等级测评、监督检查)工作,针对关键的业务系统,确定支撑其稳定运行的关键信息基础设施,并进行重点防护,开展关键信息基础设施保护(识别认定、安全防护、检测评估、监测预警、事件处置)工作。
基于等保:等级保护是基础,即baseline,“关保”的保护对象是等级保护对象的一部分;是在等保对象的基础上进行细化梳理,“关保”的安全防护是在等保的安全建设整改的基础上开展;“关保”的检测评估内容包括等级保护的等级测评、安全建设情况等。
高于等保:“关保”的安全防护、监测预警、事件处置环节从技术到管理、从过程到方法都有所细化、提升,在技术层面更加强化,管理层面更加明确;安全要求力度要求高于等级保护,增加动态风控相关要求,更加注重网络安全实战化、体系化、常态化。
无论是等级保护还是关键信息基础设施保护,其终极目标都是保障国家网络安全,提升网络安全综合防控能力。